Công ty luật Minh Khuê www.luatminhkhue.vn TIÊU CHUẨN VIỆT NAM TCVN 11817-3:2017 ISO/IEC 9798-3:1998 WITH AMENMENT 1: 2010 CÔNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - XÁC THỰC THỰC THỂ - PHẦN 3: CƠ CHẾ SỬ DỤNG KỸ THUẬT CHỮ KÝ SỐ Information technology - Security techniques - Entity authentication - Part 3: Mechanisms using digital signature techniques Lời nói đầu TCVN 11817-3:2017 hồn tồn tương đương với ISO/IEC 9798-3:1998 với sửa đổi 1:2010 đính kỹ thuật 2:2012 TCVN 11817-3:2017 (ISO/IEC 9798-3:1998) Cục Quản lý mật mã dân Kiểm định sản phẩm mật mã biên soạn, Ban Cơ yếu Chính phủ đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố Bộ tiêu chuẩn TCVN 11817:2017 Công nghệ thông tin - Các kỹ thuật an toàn - Xác thực thực thể gồm tiêu chuẩn sau: - TCVN 11817-1:2017 (ISO/IEC 9798-1:2010), Phần 1: Tổng quan - TCVN 11817-2:2017 (ISO/IEC 9798-2:2008), Phần 2: Cơ chế sử dụng thuật tốn mã hóa đối xứng - TCVN 11817-3:2017 (ISO/IEC 9798-3:1998), Phần 3: Cơ chế sử dụng kỹ thuật chữ ký số Bộ ISO/IEC 9798 Information technology - Security techniques - Entity authentication tiêu chuẩn sau: - ISO/IEC 9798-4:1999, Part 4: Mechanisms using a cryptographic check function - ISO/IEC 9798-5:2009, Part 5: Mechanisms using zero-knowledge techniques - ISO/IEC 9798-6:2010, Part 6: Mechanisms using manual data transfer CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - XÁC THỰC THỰC THỂ - PHẦN 3: CƠ CHẾ SỬ DỤNG KỸ THUẬT CHỮ KÝ SỐ Information technology - Security techniques - Entity authentication - Part 3: Mechanisms using digital signature techniques Phạm vi áp dụng Tiêu chuẩn quy định chế xác thực thực thể sử dụng chữ ký số dựa kỹ thuật phi đối xứng Hai chế liên quan đến xác thực thực thể đơn (xác thực chiều), chế lại xác thực lẫn cho hai thực thể Chữ ký số sử dụng để xác thực định danh thực thể Bên thứ ba tin cậy bao gồm chế Các chế quy định tiêu chuẩn sử dụng tham số biến thiên theo thời gian tem thời gian, số tuần tự, số ngẫu nhiên để ngăn chặn thông tin xác thực hợp lệ chấp nhận sau thời gian Nếu tem thời gian số sử dụng, chuyến cần thiết cho xác thực chiều, hai chuyến cần thiết để đạt xác thực lẫn Nếu thách thức số ngẫu nhiên sử dụng phương pháp đáp ứng sử dụng, hai chuyến cần thiết cho xác thực chiều, xác thực lẫn yêu cầu phải sử dụng ba bốn chuyến (tùy thuộc vào chế làm việc) Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng phiên nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi, bổ sung (nếu có) TCVN 11817-1:2017 (ISO/IEC 9798-1), Cơng nghệ thơng tin - Các kỹ thuật an tồn - Xác thực thực thể - Phần 1: Tổng quan Thuật ngữ định nghĩa Tiêu chuẩn áp dụng thuật ngữ ký hiệu TCVN 11817-1:2017 LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê (ISO/IEC 9798-1) đây: www.luatminhkhue.vn IA Định danh thực thể A, A CertA IB Định danh thực thể B, B CertB ResX Kết xác thực chứng thư khóa cơng khai khóa cơng khai thực thể X Như định nghĩa TCVN 11817-1:2017 X||Y sử dụng với nghĩa kết phép ghép nối mục liệu X Y theo trật tự xác định Trong trường hợp kết cách ghép nối nhiều mục liệu ký phần chế đặc tả TCVN 11817-3:2017, kết tạo định thành phần xâu liệu cấu thành nó, điều có nghĩa khơng thể có khả khơng rõ ràng việc biểu diễn Tính chất đạt nhiều cách khác nhau, tùy thuộc vào ứng dụng Ví dụ, đảm bảo cách (a) ấn định độ dài xâu liệu toàn miền ứng dụng chế, (b) mã hóa xâu ghép nối cách sử dụng phương pháp bảo đảm giải mã nhất, ví dụ sử dụng quy tắc mã hóa định nghĩa ISO/IEC 8825-1 Các yêu cầu Các chế xác thực quy định tiêu chuẩn này, thực thể xác thực chứng thực định danh cách chứng minh thơng tin khóa chữ ký riêng thực thể Điều đạt thực thể sử dụng khóa chữ ký riêng thực thể để ký liệu cụ thể Chữ ký xác thực sử dụng khóa xác thực công khai thực thể Các chế xác thực có yêu cầu sau: a) Bên xác thực cần sở hữu khóa cơng khai hợp lệ bên xác thực, tức thực thể mà bên xác thực tuyên bố b) Bên xác thực cần có khóa chữ ký riêng biết đến sử dụng bên xác thực c) Khóa riêng chữ ký số việc thực số chế đặc tả TCVN 118173:2017 phải khác biệt với khóa sử dụng cho mục đích khác d) Xâu liệu ký điểm khác chế xác thực khơng xếp theo thứ chúng thay đổi lẫn CHÚ THÍCH Điều thực cách bao gồm yếu tố xâu liệu ký sau đây; - Định danh đối tượng đặc tả Phụ lục B phần tiêu chuẩn ISO định danh cụ thể, phần số chế xác thực; - Một số xác định xâu ký chế Hằng số bỏ qua chế có xâu ký Người nhận chữ ký số kiểm tra định danh đối tượng số xác định vị trí ký chế kỳ vọng Nếu yếu tố bị hủy, q trình xác thực bị tổn hại khơng thể hồn thành CHÚ THÍCH Một cách để có khóa cơng khai hợp lệ cách thức chứng thư (xem Phụ lục C TCVN 11817-1:2017) Việc tạo, phân phối thu hồi chứng thư nằm phạm vi TCVN 11817-3:2017 Có thể tồn bên thứ ba tin cậy cho mục đích Một cách khác để có khóa cơng khai bên chuyển phát nhanh tin cậy CHÚ THÍCH Tham chiếu tới lược đồ chữ ký số nêu tài liệu tham khảo ISO/IEC 9798-3:1998/Amd.1:2010 Các chế Các chế xác thực thực thể quy định sử dụng tham số biến thiên theo thời gian tem thời gian, số số ngẫu nhiên (xem Phụ lục B TCVN 11817-1:2017 CHÚ THÍCH bên dưới) Trong tiêu chuẩn này, thẻ có dạng sau đây: Token=X1|| ||Xi||sSA(Y1 ||…||Yj) Tiêu chuẩn này, thuật ngữ “dữ liệu ký” đề cập “Y1||…||Yj” sử dụng đầu vào lược đồ ký thuật ngữ “dữ liệu chưa ký” đề cập đến “X1||…||Xi” LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Nếu thông tin chứa liệu ký thẻ khơi phục từ chữ ký khơng cần phải chứa liệu chưa ký thẻ (xem ví dụ ISO/IEC 9796) Nếu thông tin chứa trường văn liệu ký thẻ khôi phục từ chữ ký, cần chứa trường văn chưa ký thẻ Nếu thông tin liệu ký thẻ (ví dụ số ngẫu nhiên) biết bên xác thực, khơng cần chứa liệu chưa ký thẻ gửi bên xác thực Tất trường văn quy định chế sau sẵn sàng để sử dụng ứng dụng bên phạm vi tiêu chuẩn (chúng rỗng) Mối quan hệ nội dung chúng phụ thuộc vào ứng dụng cụ thể Xem Phụ lục A để biết thêm thông tin sử dụng trường văn CHÚ THÍCH Việc ký thực thể khối liệu thao tác thực thể thứ hai với số lý bí mật ngăn chặn thực thể bao gồm số ngẫu nhiên khối phục liệu mà ký Trong trường hợp này, khơng thể đốn trước giúp ngăn chặn việc ký liệu xác định trước Việc phân phối chứng thư nằm phạm vi TCVN 11817-3:2017, việc thực gửi chứng thư tùy chọn tất chế 5.1 Xác thực chiều Xác thực chiều có nghĩa có hai thực thể xác thực sử dụng chế 5.1.1 Xác thực đơn chuyến Trong chế xác thực bên xác thực A khởi tạo trình xác thực bên xác thực B Tính nhất/tính thời điểm kiểm sốt cách tạo kiểm tra tem thời gian số ngẫu nhiên (xem Phụ lục B TCVN 11817-1:2017) Cơ chế xác thực minh họa Hình Hình Hình thức thẻ (TokenAB), gửi bên xác thực A đến bên xác thực B là: Trong bên xác thực A sử dụng số NA tem thời gian TA tham số biến thiên theo thời gian Lựa chọn tùy thuộc vào khả đáp ứng kỹ thuật bên xác thực bên xác thực phụ thuộc vào mơi trường CHÚ THÍCH Việc bao gồm định danh B liệu ký TokenAB cần thiết để ngăn chặn thẻ chấp nhận bên xác thực định Nói chung, Text2 khơng xác thực q trình Một ứng dụng chế phân phối khóa (xem Phụ lục A TCVN 11817-1:2017) (1) A gửi TokenAB tùy chọn chứng thư đến B (2) Khi nhận thơng báo chứa TokenAB, B thực thi bước sau: (i) Đảm bảo sở hữu khóa cơng khai hợp lệ A cách xác thực chứng thư A phương thức khác (ii) Nó xác thực TokenAB cách xác thực chữ ký A chứa thẻ cách kiểm tra tem thời gian số cách kiểm tra xem giá trị trường định danh (B) LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn liệu ký TokenAB có với định danh phân biệt thực thể B không 5.1.2 Xác thực hai chuyến Trong chế xác thực bên xác thực A xác thực bên xác thực B bên khởi tạo q trình Tính nhất/tính thời điểm kiểm soát cách tạo kiểm tra số ngẫu nhiên RB (xem phụ lục B TCVN 11817-1:2017) Cơ chế xác thực minh họa Hình Hình Hình thức thẻ (TokenAB), gửi bên xác thực A đến bên xác thực B là: TokenAB=RA|| RB|| B||Text3||sSA (RA|| RA|| B ||Text2) Việc bao gồm định danh B TokenAB tùy chọn Nó phụ thuộc vào môi trường mà chế xác thực sử dụng CHÚ THÍCH Việc bao gồm định danh tùy chọn B liệu ký TokenAB cần thiết để ngăn chặn thẻ chấp bên xác thực dự định (ví dụ cơng người đứng giữa) Việc bao gồm số ngẫu nhiên RA liệu ký TokenAB ngăn cản B thu thập chữ ký A liệu chọn B trước bắt đầu chế xác thực Biện pháp u cầu, ví dụ, khóa sử dụng A cho mục đích khác mục đích xác thực thực thể (1) B gửi số ngẫu nhiên RB tùy chọn trường văn Text1 đến A (2) A gửi TokenAB tùy chọn chứng thư số đến B (3) Khi nhận thơng báo chứa TokenAB, B thực thi bước sau: (i) Đảm bảo sở hữu khóa cơng khai hợp lệ A cách xác thực chứng thư A phương thức khác (ii) Nó xác thực TokenAB cách xác thực chữ ký A chứa thẻ cách kiểm tra số ngẫu nhiên RB gửi tới A Bước (1), phù hợp với số ngẫu nhiên chứa liệu ký TokenAB cách kiểm tra giá trị trường định danh (B) liệu ký TokenAB, có, xem có định danh phân biệt thực thể B không 5.2 Xác thực lẫn Xác thực lẫn có nghĩa hai thực thể giao tiếp xác thực lẫn Hai chế mô tả 5.1.1 5.1.2 mở rộng 5.2.1 5.2.2 tương ứng để đạt xác thực lẫn Điều đạt cách truyền thêm thông báo hai bước bổ sung Cơ chế quy định 5.2.3 sử dụng bốn thông báo, nhiên không cần phải tất gửi liên tiếp Trong cách q trình xác thực tăng tốc 5.2.1 Xác thực hai chuyến Trong chế xác thực tính nhất/tính thời điểm kiểm soát cách tạo kiểm tra tem thời gian số (xem Phụ lục B TCVN 11817-1:2017) Cơ chế xác thực minh họa Hình Hình LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Hình thức thẻ (TokenAB), gửi A đến B giống quy định 5.1.1 Hình thức thẻ (TokenBA), gửi B đến A là: Việc lựa chọn sử dụng tem thời gian số chế tùy thuộc vào khả đáp ứng kỹ thuật bên xác thực bên xác thực phụ thuộc vào mơi trường CHÚ THÍCH - Việc bao gồm định danh A B tương ứng liệu ký TokenBA TokenAB cần thiết để ngăn chặn thẻ chấp bên xác thực dự định Bước (1) (2) giống bước quy định 5.1.1, xác thực đơn chuyến (3) B gửi TokenBA tùy chọn chứng thư B cho A (4) Thông báo Bước (3) xử lý theo cách tương tự bước (2) 5.1.1 CHÚ THÍCH - Hai thông báo chế không bị ràng buộc với cách nào, khác tính thời điểm; chế liên quan đến việc sử dụng hai lần chế 5.1.1 cách độc lập Hơn ràng buộc với thơng báo đạt cách sử dụng trường văn thích hợp 5.2.2 Xác thực ba chuyến Trong chế xác thực tính nhất/tính thời điểm kiểm sốt cách tạo kiểm tra số ngẫu nhiên (xem Phụ lục B TCVN 11817-1:2017) Cơ chế xác thực minh họa Hình Hình Các thẻ có dạng sau: TokenAB = RA||RB||B||Text3||sSA (RA||RB||B||Text2), TokenBA = RB||RA||A||Text5||sSB (RB||RA||A||Text4), Việc bao gồm tham số B TokenAB tham số A TokenBA tùy chọn Điều phụ thuộc vào môi trường mà chế xác thực sử dụng CHÚ THÍCH - Việc bao gồm số ngẫu nhiên RA phần ký TokenAB ngăn chặn B từ việc thu thập chữ ký A liệu chọn B trước bắt đầu chế xác thực Biện pháp yêu cầu, ví dụ, khóa sử dụng A cho mục đích khác mục đích xác thực thực thể Tuy nhiên, việc bao gồm RB TokenBA, cần thiết lý an tồn bắt buộc A cần kiểm tra xem giống giá trị gửi thông báo đầu tiên, cung cấp bảo vệ đến B, RB biết đến A trước RA chọn Nếu kiểu bảo vệ cần thiết, B chèn thêm số ngẫu nhiên bổ sung R’B trường văn Text4 Text5 TokenBA (1) B gửi số ngẫu nhiên RB tùy chọn trường văn Text1 đến A (2) A gửi TokenAB tùy chọn chứng thư A đến B (3) Khi nhận thông báo chứa TokenAB, B thực thi bước sau: (i) Đảm bảo sở hữu khóa cơng khai hợp lệ A cách xác thực chứng thư A phương thức khác (ii) Nó xác thực TokenAB cách xác thực chữ ký A chứa thẻ cách kiểm tra số ngẫu nhiên RB gửi tới A Bước (1), phù hợp với số ngẫu nhiên chứa liệu LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn ký TokenAB cách kiểm tra giá trị trường định danh (B) liệu ký TokenAB, có, xem có định danh phân biệt thực thể B không (4) B gửi TokenBA tùy chọn chứng thư số B đến A (5) Khi nhận thơng báo có chứa TokenBA, A xử lý tương tự bước (i) (ii) liệt kê Bước (3) Ngoài ra, A kiểm tra số ngẫu nhiên RB chứa liệu ký TokenBA số ngẫu nhiên RB nhận bước (1) 5.2.3 Xác thực hai chuyến song song Trong chế xác thực thực song song Tính nhất/tính thời điểm kiểm soát cách tạo kiểm tra số ngẫu nhiên (xem Phụ lục B TCVN 11817-1:2017) Cơ chế xác thực minh họa Hình Hình Các thẻ tương tự Điều 5.1.2: TokenAB = RA||RB||B||Text4||sSA (RA||RB||B||Text3), TokenBA = RB||RA||A||Text6||sSB (RB||RA||A||Text5), Việc bao gồm tham số B TokenAB tham số A TokenBA tùy chọn Điều phụ thuộc vào môi trường mà chế xác thực sử dụng CHÚ THÍCH 1- Số ngẫu nhiên RA có mặt TokenAB ngăn chặn B từ việc thu thập chữ ký A liệu chọn B trước bắt đầu chế xác thực Biện pháp u cầu, ví dụ, khóa sử dụng A cho mục đích khác mục đích xác thực thực thể Lý tương tự số ngẫu nhiên RB có mặt TokenBA Tùy thuộc vào thời gian tương đối việc nhận thông báo bước (1) (1’), bên biết số ngẫu nhiên Nếu điều không mong muốn hai bên chèn số ngẫu nhiên R’A R’B trường văn Text3 Text4 TokenAB Text5 Text6 TokenBA tương ứng (1) A gửi RA tùy chọn chứng thư số A trường văn Text1 đến B (1’) B gửi RB tùy chọn chứng thư số B trường văn Text2 đến A (2) A B đảm bảo chúng sở hữu khóa công khai hợp lệ thực thể khác cách xác thực chứng thư tương ứng phương thức khác (3) A gửi TokenAB đến B (3’) B gửi TokneBA đến A (4) A B thực thi bước sau: Mỗi thực thể xác thực token nhận cách kiểm tra chữ ký thẻ cách kiểm tra số ngẫu nhiên mà trước gửi đến thực thể khác, phù hợp với số ngẫu nhiên chứa liệu ký token nhận CHÚ THÍCH - Thay cho chế 5.2.3 chạy chế 5.1.2 hai cách Việc bao gồm chứng thư thông báo chế 5.2.3 cho phép xác thực chứng thư trước đó, điều tăng tốc trình xác thực Cơ chế liên quan đến bên thứ ba tin cậy trực tuyến 6.1 Giới thiệu Các chế xác thực Điều yêu cầu hai thực thể A B xác nhận khóa cơng khai sử dụng bên thứ ba tin cậy trực tuyến (có định danh phân biệt TP) Bên thứ ba tin cậy cần sở hữu tin cậy khóa cơng khai thực thể A B Thực thể A B cần sở hữu tin cậy khóa cơng khai TP LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Điều khoản quy định hai chế xác thực năm chuyến, hai chế xác thực lẫn hai thực thể A B Trong đặc tả hai chế, hình thức token trường văn theo mô tả đưa đầu Điều 5, tức tất đoạn Điều trước 5.1 Việc triển khai chế cần sử dụng lược đồ chữ ký quy định tiêu chuẩn ISO/IEC 14888 ISO/IEC 9796 6.2 Xác thực năm chuyến (được khởi tạo thực thể A) Trong chế xác thực này, tính nhất/tính thời điểm kiểm soát cách tạo kiểm tra số ngẫu nhiên (xem Phụ lục B TCVN 11817-1:2017) Cơ chế xác thực minh họa Hình Hình 6: Xác thực năm chuyến (được khởi tạo thực thể A) Thẻ cần tạo theo hai tùy chọn sau: Tùy chọn 1: Tùy chọn 2: Giá trị trường IA, IB, ResA, ResB, Trạng thái Thất bại cần có dạng sau: IA = A or CertA IB = B or CertB ResA = (CertA||Status), (A||PA) Thất bại ResB = (CertB||Status), (B||PB) Thất bại LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Trạng thái = Đúng Sai Các giá trị trường cần thiết lập Sai chứng thư bị thu hồi; không giá trị trường thiết lập Đúng Thất bại: ResX (trong X={A,B}) thiết lập Thất bại khóa cơng khai chứng thư thực thể X khơng tìm thấy TP Trong chế này, TP biết ánh xạ định danh X PX (trong X = {A,B}), sau thiết lập IX = X; khơng, thiết lập IX = CertX, X cần thiết lập tập trường định danh phân biệt Certx Nếu hai X CertX phép sử dụng định danh, sau có phương tiện xếp trước phép TP phân biệt hai kiểu dấu hiệu định danh Giá trị ResX (trong X = {A,B}) cần xác định theo Bảng Bảng - Giá trị ResX Trường Lựa chọn Lựa chọn IX X CertX ResX (X || PX) Thất bại (CertX || Trạng thái) Thất bại Cơ chế thực sau: 1) A gửi số ngẫu nhiên RA, định danh IA và, tùy chọn trường văn Text1 đến B 2) B gửi thẻ TokenBA IB đến A 3) A gửi số ngẫu nhiên R’A với RB, IA, IB tùy chọn trường văn Text4 đến TP 4) Khi nhận thông báo Bước (3) từ A, TP thực bước sau Nếu IA = A IB = B, TP lấp PA PB; Nếu IA = CertA IB = CertB, TP kiểm tra tính hợp lệ CertA, CertB Quá trình xác thực chứng thư TP u cầu bảo vệ trước cơng từ chối dịch vụ Đặc tả chế sử dụng để cung cấp bảo vệ nằm phạm vi tiêu chuẩn 5) Sau TP gửi TokenTA tùy chọn trường văn Text7 tới a Các trường ResA ResB TokenTA cần là: chứng thư A B trạng thái chúng, định danh phân biệt A, B khóa cơng khai chúng dấu hiệu Thất bại 6) Khi nhận thông báo Bước (5) từ TP, A thực thi bước sau: (i) Xác thực TokenTA cách kiểm tra chữ ký TP chứa thẻ, kiểm tra số ngẫu nhiên R’A, gửi tới TP Bước (3), giống số ngẫu nhiên R’A chứa liệu ký TokenTA (ii) Lấy khóa cơng khai B từ thơng báo, xác thực TokenBA nhận Bước (2) cách kiểm tra chữ ký B chứa thẻ kiểm tra xem giá trị trường định danh (A) liệu ký TokenBA có định danh phân biệt A sau kiểm tra xem số ngẫu nhiên RA, gửi tới B Bước (1), có giống số ngẫu nhiên RA chứa TokenBA không 7) A gửi TokenAB đến B 8) Khi nhận thông báo Bước (7) từ A, B thực bước sau đây: (i) Xác thực TokenTA cách kiểm tra chữ ký TP chứa thẻ cách kiểm tra số ngẫu nhiên RB, gửi đến A Bước (2), có giống số ngẫu nhiên RB chứa liệu ký TokenTA khơng (ii) Lấy khóa cơng khai A từ thông báo, xác thực TokenAB cách kiểm tra chữ ký A chứa thẻ cách kiểm tra xem giá trị trường định danh (B) liệu ký TokenAB có định danh phân biệt B kiểm tra xem số ngẫu nhiên RB chứa liệu ký TokenAB với số ngẫu nhiên RB gửi đến A Bước (2) không 6.3 Xác thực năm chuyến (Khởi tạo B) Trong chế xác thực này, tính nhất/tính thời điểm kiểm sốt cách tạo kiểm tra số ngẫu nhiên (xem Phụ lục B TCVN 11817-1:2017) Cơ chế xác thực minh họa Hình LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Hình - Cơ chế xác thực minh họa Hình Thẻ cần tạo theo hai tùy chọn sau: Tùy chọn 1: Tùy chọn 2: Giá trị trường IA, IB, ResA, ResB, Trạng thái Thất bại cần có dạng sau: IA = A or CertA IB = B or CertB ResA = (CertA||Status), (A||PA) Thất bại ResB = (CertB||Status), (B||PB) Thất bại Trạng thái = Đúng Sai Các giá trị trường cần thiết lập Sai chứng thư bị thu hồi; không giá trị trường thiết lập Đúng Thất bại: ResY (trong Y={A,B}) thiết lập Thất bại khóa cơng khai chứng thư thực thể Y khơng tìm thấy TP Trong chế này, TP biết ánh xạ định danh Y PY (trong Y = {A,B}), sau thiết lập IY = Y; khơng, thiết lập lY = CertY, Y cần thiết lập tập trường định danh phân biệt CertY Nếu hai Y CertY phép sử dụng định danh, sau có phương tiện xếp trước phép TP phân biệt hai kiểu dấu hiệu định danh Giá trị ResY (trong Y = {A,B}) cần xác định theo Bảng Bảng - Giá trị ResY LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Trường Lựa chọn Lựa chọn IY Y CertY ResY (Y||PY) Thất bại (CertY||Trạng thái) Thất bại Cơ chế thực sau: 1) B gửi số ngẫu nhiên RB, định danh IB và, tùy chọn trường văn Text1 đến A 2) A gửi số ngẫu nhiên R’A với RB, IA, IB tùy chọn trường văn Text2 đến TP 3) Khi nhận thông báo Bước (2) từ A, TP thực bước sau Nếu IA = A IB = B, TP lấp PA PB; Nếu IA = CertA IB = CertB, TP kiểm tra tính hợp lệ CertA, CertB Quá trình xác thực chứng thư TP yêu cầu bảo vệ trước công từ chối dịch vụ Đặc tả chế sử dụng để cung cấp bảo vệ nằm phạm vi tiêu chuẩn 4) Sau TP gửi TokenTA tùy chọn trường văn Text5 tới A Các trường ResA ResB TokenTA cần là: chứng thư A B trạng thái chúng, định danh phân biệt A, B khóa công khai chúng dấu hiệu Thất bại 5) A gửi thẻ TokenAB IA tới B 6) Khi nhận thông báo Bước (5) từ A, B thực thi bước sau: (i) Xác thực chữ ký TP TokenAB cách kiểm tra chữ ký TP chứa thẻ cách kiểm tra số ngẫu nhiên RB, gửi đến A Bước (1), có số ngẫu nhiên RB chứa liệu ký TP TokenAB không (ii) Lấy khóa cơng khai A từ thơng báo, xác thực TokenAB cách kiểm tra chữ ký A chứa thẻ kiểm tra xem giá trị trường định danh (B) liệu ký TokenAB có định danh phân biệt B sau kiểm tra xem số ngẫu nhiên RB, gửi tới A Bước (1), có giống số ngẫu nhiên RB chứa liệu ký A TokenAB không 7) B gửi TokenBA đến A 8) Khi nhận thông báo Bước (7) từ B, A thực bước sau đây: (i) Xác thực TokenTA cách kiểm tra chữ ký TP chứa thẻ cách kiểm tra số ngẫu nhiên R’A, gửi đến TP Bước (2), có giống số ngẫu nhiên R’A chứa liệu ký TokenTA khơng (ii) Lấy khóa cơng khai B từ thông báo, xác thực TokenBA cách kiểm tra chữ ký B chứa thẻ cách kiểm tra xem giá trị trường định danh (A) liệu ký TokenBA có định danh phân biệt A kiểm tra xem số ngẫu nhiên RA chứa liệu ký TokenBA với số ngẫu nhiên RA gửi đến B Bước (5) không Phụ lục A (Tham khảo) Sử dụng trường văn Các thẻ quy định Điều Điều tiêu chuẩn chứa trường văn Việc sử dụng thực tế mối quan hệ trường văn khác chuyến cho trước phụ thuộc vào ứng dụng Một số ví dụ đưa đây; xem thêm Phụ lục A TCVN 11817-1:2017 Nếu lược đồ chữ ký không khôi phục thông báo sử dụng trường văn ký khơng rỗng, bên xác thực cần phải sở hữu văn trước xác thực chữ ký Trong phụ lục thuật ngữ “trường văn ký” đề cập đến trường liệu liệu ký “trường liệu chưa ký” đề cập đến trường liệu liệu chưa ký Ví dụ, lược đồ chữ ký không khôi phục thông báo sử dụng, thông tin yêu cầu xác thực nguồn gốc liệu cần phải đặt trường văn ký (như phần của) trường văn chưa ký thẻ Nếu thẻ không chứa (đủ) dư thừa, trường văn ký sử dụng để cung cấp thêm dự phòng Các trường văn ký sử dụng để thẻ hợp lệ cho mục đích xác thực Cần có mối quan tâm thực thể lựa chọn giá trị “suy biến” với mục đích xấu cho thực thể khác để ký, thực thể khác giới thiệu số ngẫu nhiên trường văn Cần có thuật tốn sử dụng khởi động công dựa thực tế bên LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn xác thực cụ thể sử dụng khóa cho tất bên xác thực với bên xác thực giao tiếp, công coi đe dọa, định danh bên xác thực dự định cần bao gồm trường văn ký cần thiết, trường văn chưa ký Trường văn chưa ký sử dụng để cung cấp thông tin để bên xác thực (không xác thực) định danh cho thấy định danh mà bên xác thực tuyên bố Nếu phương tiện khác chứng thư sử dụng để phân phối khóa cơng khai, chẳng hạn thơng tin yêu cầu phép bên xác thực xác định khóa cơng khai sử dụng để xác thực bên xác thực Phụ lục B (Quy định) Định danh đối tượng cú pháp ASN.1 B.1 Định nghĩa thức B.2 Sử dụng định danh đối tượng Ngay sau định danh đối tượng xác định chế, định danh đối tượng khác xác định thuật toán chữ ký số cần sau (tức thuật toán quy định tiêu chuẩn ISO/IEC 14888 ISO/IEC 9796) B.3 Ví dụ mã hóa phù hợp với quy tắc mã hóa Để phù hợp với tiêu chuẩn ISO/IEC 8825-1, định danh đối tượng bao gồm nhiều tám Mỗi dãy mã hóa số - Bit (bit có trọng số cao nhất) thiết lập tám cuối dãy LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn tám trước đó, có nhiều tám - Nối bit đến tám dãy mã hóa số Mỗi số cần mã hóa cách sử dụng tám có thể, tám ‘80’ khơng hợp lệ vị trí dãy - Số số tiêu chuẩn; số thứ hai, có, phần tiêu chuẩn gồm nhiều phần Một định danh đối tượng tham chiếu tới chế định nghĩa tiêu chuẩn - Để xác định tiêu chuẩn ISO, tám thiết lập ‘28’, tức 40 theo hệ thập lục phân (xem ISO/IEC 8825-1) - Hai tám thiết lập ‘CC46’ 9798 ‘2646’ hệ thập lục phân, tức 0010 0110 0100 0110, tức hai khối bảy bit 1001100 1000110 Sau chèn giá trị thích hợp bit tám, việc mã hóa dãy 11001100 01000110, tức ‘CC46’ - Các tám thiết lập ‘02’ để xác định phần - Các tám định danh chế xác thực - ‘01’ định danh chế xác thực chiều đơn chuyến không liên quan đến bên thứ ba tin cậy trực tuyến - ‘02’ định danh chế xác thực chiều hai chuyến không liên quan đến bên thứ ba tin cậy trực tuyến - ‘03’ định danh chế xác thực lẫn hai chuyến không liên quan đến bên thứ ba tin cậy trực tuyến - ‘04’ định danh chế xác thực lẫn ba chuyến không liên quan đến bên thứ ba tin cậy trực tuyến - ‘05’ định danh chế xác thực lẫn hai chuyến không liên quan đến bên thứ ba tin cậy trực tuyến - ‘06’ định danh chế xác thực lẫn khởi tạo từ A năm chuyến liên quan đến bên thứ ba tin cậy trực tuyến - ‘07’ định danh chế xác thực lẫn khởi tạo từ B năm chuyến liên quan đến bên thứ ba tin cậy trực tuyến VÍ DỤ phần tử ‘28 CC 46 03 04’ đọc {tiêu chuẩn ISO 9798 4}, tức chế thứ bốn tiêu chuẩn ISO/IEC 9798-3, tức chế xác thực lẫn ba chuyến không liên quan đến bên thứ ba tin cậy trực tuyến Phần tử liệu chuyển tải đối tượng liệu BER-TLV sau (xem quy tắc mã hóa ASN.1, ISO/IEC 8825-1, thẻ lớp toàn cầu ‘06’) nơi dấu gạch ngang dấu ngoặc nhọn không quan trọng chèn vào cho rõ ràng Đối tượng liệu = {‘06’-‘05’-‘28 CC 46 03 04’} Thư mục tài liệu tham khảo [1] ISO/IEC 8825-1, Information technology - ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER) [2] ISO/IEC 9796 (tất phần), Information technology - Security techniques - Digital signature scheme giving message recovery [3] ISO/IEC 14888 (tất phần), Information technology - Security techniques - Digital signature with appendix MỤC LỤC Lời nói đầu Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Các yêu cầu Các chế LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê 5.1 Xác thực chiều 5.2 Xác thực lẫn Cơ chế liên quan đến bên thứ ba tin cậy trực tuyến 6.1 Giới thiệu 6.2 Xác thực năm lần chuyển (được khởi tạo thực thể A) 6.3 Xác thực năm lần chuyển (Khởi tạo B) Phụ lục A (Tham khảo) Sử dụng trường văn Phụ lục B (Quy định) Định danh đối tượng cú pháp ASN.1 B.1 Định nghĩa thức B.2 Sử dụng định danh đối tượng B.3 Ví dụ mã hóa phù hợp với quy tắc mã hóa Thư mục tài liệu tham khảo LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 www.luatminhkhue.vn